年々、巧妙化するサイバー攻撃によって、重大な情報を盗まれる危険が高まっている。ウイルス対策ソフトなどで悪意のあるソフトの侵入を防ぐ従来型手法では限界がある。発想の転換で「未知の攻撃」をあぶり出す高度な技術が、実用化間近となっている。
まるで雨後のたけのこ。プログラムを改ざんする「ウイルス」や、画像などに偽装する「トロイの木馬」といった悪意のあるソフト「マルウエア」は、延べ4億件を超えた。日々10万もの亜種が生まれているといわれ、「未知」の脅威が増している。
それらをターゲットに仕込む手法も多様化。「既知」のマルウエアや攻撃手法に基づいた「ウイルス対策ソフト」や監視システムに限界が訪れている。そこで、従来にはない発想で未知の攻撃を検知する技術開発が各社で進む。
人工知能で正常モデルを学習
「数カ月かけて1つの目標にじわじわ迫る手口が増えている。攻撃者は確実にプロ化している」。NECセキュリティ研究所所長代理の宮内幸司氏は新技術を開発した背景をこう語る。
同社が開発したのは「AI(人工知能)」を活用した「自己学習型システム異常検知技術」。社内システムやネットワーク全体の平常時の動作を機械学習させ、正常な動作モデルを覚えこませる。そのモデルと外れた挙動を検知した際、アラートを発し、異常な箇所を自動で隔離する技術だ。
NECはAI以外の部分で特許を申請中。AIのアルゴリズムは「社外秘」としており、特許申請もしていない。
これまでの対策の主流は、ウイルス対策ソフトに登録されたマルウエアを検知、あるいは、システムのログから既知の攻撃手法と似た状況を検知するというもの。だが、「本格的な攻撃者は必ず対策ソフトを回避できることを確認してから攻撃するため、いつまでも後手に回る」(宮内氏)。
そこでNECは発想を転換。相手の攻撃手法に学ぶことをやめた。攻撃の初期段階で、社内システムのどこかが未知のマルウエアに感染してしまうことも甘んじて受け入れる。しかし感染は、必ずシステムのどこかに普段とは違う「変調」をもたらす。これを見逃さず、情報窃取など最終的な被害を食い止めるという考え方だ。
具体的には、ファイルアクセスやプログラム起動、通信といったOS(基本ソフト)のプロセスレベルでの動作を監視する「軽量エージェント」と呼ぶ極小のソフトを、全てのPCやサーバーに仕込む。このソフトによって、システム全体の普段の挙動や通信を機械学習。「工場は3日から1週間、オフィス環境では1カ月あれば、大まかな学習は完了する」(サイバーセキュリティ戦略本部エキスパートの喜田弘司氏)。
その結果得られた正常モデルと、軽量エージェントが送ってくる「今」の挙動や通信をリアルタイムで比較することで、攻撃をあぶり出す。左の画面は、マルウエアに感染したPCが、ほかのPCを探りにいく通信を、普段とは違う通信として異常検知した例だ。
社内の研究所などで繰り返している実証実験では、従来の製品では検知できなかった攻撃手法を情報システム部門にヒアリング。その手法をまねた模擬攻撃は「100%検知できている」(喜田氏)。精度をさらに向上させ、2017年3月までの製品化を目指している。
Powered by リゾーム?